Kalifornien tritt beim Datenschutz in die Fussstapfen der EU
Am 1. Januar tritt in Kalifornien ein neues Gesetz zum Schutz der Privatsphäre in Kraft – das bisher schärfste in Amerika. Vorbild für das neue Gesetz war die europäische Datenschutz-Grundverordnung.
«Es ist an der Zeit, dass wir die Kontrolle über unsere persönlichen Daten haben»: der kalifornische Justizminister Xavier Becerra.
In Kalifornien beginnt am 1. Januar eine neue Ära des Datenschutzes: Konsumenten können künftig von Restaurants, Fluggesellschaften, Banken und zahlreichen anderen Geschäften und Firmen erfragen, welche Daten sie zu ihnen erhoben haben – und verlangen, dass diese Informationen gelöscht oder nicht mehr verkauft werden. Im Fall von Hackerangriffen können die Konsumenten die Firmen verklagen, falls ihre Daten nicht hinreichend geschützt wurden.
500 000 Firmen betroffen
Die California Consumer Privacy Act (CCPA) ist das bis dato strengste Datenschutzgesetz in Amerika. Es gilt für alle Unternehmen, die bestimmte Kriterien erfüllen, wie etwa einen Mindestumsatz von 25 Millionen Dollar. Die Unternehmen sind selbst dann betroffen, wenn sie keine physische Präsenz in dem Gliedstaat haben, aber Kalifornier zu ihren Kunden zählen. Laut Schätzungen sind das eine halbe Million Firmen.
«Unsere persönlichen Daten füttern die heutige datengetriebene Wirtschaft und den Wohlstand, den sie schafft. Es ist an der Zeit, dass wir die Kontrolle über unsere persönlichen Daten haben – und auch entscheiden können, was privat ist», sagte der kalifornische Justizminister Xavier Becerra, dessen Behörde die Einhaltung des Gesetzes verantwortet. Bei Nichtbefolgen müssen Firmen Bussen von bis zu 7500 Dollar pro Schadensfall zahlen.
Einerseits ist das im Sommer 2018 beschlossene Gesetz eine Reaktion auf den Datenskandal um Cambridge Analytica; dieser warf ein Schlaglicht auf das florierende Geschäft mit Kundendaten. Andererseits dienten die Europäer als Vorbild: Wenige Monate zuvor, im Mai 2018, war die europäische Datenschutz-Grundverordnung in Kraft getreten, die die bis dato weltweit schärfsten Massstäbe für Konsumentenschutz setzte. Das Gesetz aus Brüssel wurde in Kalifornien immer wieder lobend erwähnt. Die Europäer seien den Amerikanern beim Datenschutz voraus, «wir sind da Neulinge», sagte Becerra etwa an einer Veranstaltung zum Thema Datensicherheit in San Francisco im vergangenen Jahr. An dem Treffen nahm auch die Vorsitzende des Europäischen Datenschutzausschusses, Andrea Jelinek, teil. «Wir teilen gerne unsere bisherigen Erfahrungen», sagte Jelinek, man wolle die Kalifornier aber nicht belehren.
In mancherlei Hinsicht ist das kalifornische Gesetz etwas lockerer als das europäische, beispielsweise gibt es kein «Recht auf Vergessenwerden im Internet», weil dies im Widerspruch zur in den USA breit gefassten Redefreiheit stünde. Zum Teil sind die neuen kalifornischen Regeln aber rigoroser: So definiert die CCPA persönliche Informationen breiter und bezieht etwa Internet-Cookies ein, die Besucher von Websites identifizieren.
Facebook stellt sich quer
Für Aufsehen hat im Vorfeld vor allem die Auflage gesorgt, dass Unternehmen künftig auf ihren Websites und in ihren Apps eine Option anbieten müssen mit dem Wortlaut: «Do not sell my personal information» («Meine persönlichen Daten nicht verkaufen»). Facebook etwa weigert sich, Nutzern eine solche Funktion zu zeigen; das soziale Netzwerk stellt sich auf den Standpunkt, dass es seine Kundendaten eben nicht verkaufe, sondern Werbekunden diese nur zur Verfügung stelle. Man habe schon länger Möglichkeiten für alle Nutzer weltweit geschaffen, die persönlichen Daten einzusehen, herunterzuladen und zu löschen, schreibt Facebook in einer Stellungnahme zum neuen Datenschutzgesetz.
Die kommenden Monate werden zeigen, ob das kalifornische Justizministerium diese Einschätzung teilt. Sacramento will das neue Gesetz erst ab Juli, also nach einer gewissen Kulanzzeit, vollumfänglich durchsetzen.
Das Befolgen der neuen Auflagen wird Unternehmen laut einer Expertenschätzung insgesamt 55 Milliarden Dollar kosten. Geschäfte mit weniger als 20 Angestellten werden demnach etwa 50 000 Dollar berappen müssen; grössere Firmen, die viele Kundendaten erheben, etwa 2 Millionen Dollar. Das deckt sich mit den Erfahrungen in der EU: Wie der «Economist» basierend auf Expertenschätzungen berichtet, kostet das Einhalten der europäischen Datenschutz-Grundverordnung Firmen im Durchschnitt 2 Millionen Dollar. Demnach wurden seit Inkrafttreten des Gesetzes im Mai 2018 250 000 Beschwerden verzeichnet und Bussen von bis zu 100 Millionen Euro im Einzelfall verhängt.
Demokraten und Republikaner uneinig bei Bundesgesetz
Auch andere, meist demokratisch dominierte Gliedstaaten wie Illinois, New York und Washington arbeiten derzeit an neuen Bestimmungen zum Datenschutz, doch das kalifornische Gesetz ist das bisher strengste. Da der Gliedstaat mit fast 40 Millionen Einwohnern gleichzeitig der grösste ist, haben mehrere Firmen wie Apple und Microsoft angekündigt, das kalifornische Datenschutzgesetz für die ganzen USA anzuwenden.
Der Vorstoss aus Sacramento führt nun dazu, dass Handelsverbände und Unternehmen in Washington für eine landesweite Regulierung lobbyieren. Bis heute gibt es in den USA nämlich kein Bundesdatenschutzgesetz, sondern nur einzelne Regulierungen, die bestimmte Aspekte der Privatsphäre schützen, etwa mit Blick auf Patienteninformationen, die Ärzte erheben dürfen. Der Kongress hat nie grundsätzlich definiert, woran sich Firmen halten müssen, wenn sie Kundendaten erheben. In der Folge herrscht in den USA der sprichwörtliche Wilde Westen beim Datenschutz.
Doch allem Betteln der Lobbyisten zum Trotz bekommt der Kongress keine Regulierung zustande – zu unterschiedlich sind die Positionen der beiden Parteien auch bei diesem Thema. Die Demokraten stellen sich auf den Standpunkt, dass sich ein bundesweites Gesetz an dem kalifornischen orientieren müsste – oder zumindest den Gliedstaaten Spielraum lassen sollte, nach Belieben schärfere Regeln hinzuzufügen. Eine Rolle spielt dabei auch, dass mehrere demokratische Führungsfiguren aus Kalifornien stammen und ihre Wähler dort nicht mit einem lascheren Bundesgesetz verärgern wollen.
Die Republikaner hingegen halten das kalifornische Gesetz für viel zu streng und wollen ein Bundesgesetz, das nicht nur deutlich lockerer ist als das kalifornische, sondern das zudem alle bestehenden föderalen Bestimmungen ersetzt. Dass sich der Kongress noch vor der Präsidentenwahl im November auf ein Bundesgesetz einigt, ist daher unwahrscheinlich. Somit wird ab Januar genau das eintreten, was sich die Demokraten wünschen – nämlich dass Kalifornien mit seinem strengen Gesetz den De-facto-Standard für den Rest des Landes setzt.
